본문 바로가기

벌새::Analysis

VirtualDVD 제휴 프로그램에 포함된 "BRTSvc version 1.0.0.0" 가상 화폐 채굴 프로그램 정보 (2017.12.23)

반응형

최근 국내 오소프트에서 제공하는 VirtualDVD 프로그램이 7.8.0.0 버전으로 업데이트되는 과정에서 "BRTSvc version 1.0.0.0" 제휴 프로그램이 추가되어 이슈가 되었습니다.

 

최초 이슈가 된 문제의 핵심은 업데이트 과정에서 VirtualDVD 프로그램과 함께 필수적으로 설치되는 제휴 프로그램 형태로 배포가 이루어진 점과 "BRTSvc version 1.0.0.0" 프로그램에 대한 정보를 쉽게 확인할 수 없었다는 점이 아닌가 싶습니다.

 

 

논란이 확산되자 제작사에서는 사용자의 선택에 의해 설치가 이루어지도록 배포 방식을 변경하였으며, 이용약관에서도 BRTSvc 스폰서 프로그램은 모네로(Monero) CPU 마이너(Miner) 프로그램이라고 정확하게 밝히고 있습니다.

 

VirtualDVD 7.8.0.0 버전에 추가된 "BRTSvc version 1.0.0.0" 제휴 프로그램의 설치 방식이 추가적인 다운로드 방식이 아닌 실행 압축 방식으로 포함되어 있기에 VirtualDVD_v7.8.0.0.exe 설치 파일(SHA-1 : ecd52f08584c481c9a10ac9f52c0529cdf48886d - AhnLab V3 365 Clinic : PUP/Win32.Installer.R216042)에 대해 일부 백신 프로그램에서 진단이 이루어지고 있는 상태입니다.

 

 

아마도 이런 문제로 인하여 네이버 소프트웨어에 등록되어 있는 VirtualDVD 프로그램이 제거된 것으로 보입니다.

 

VirtualDVD 프로그램이 설치되는 과정에서 언팩된 "C:\Users\%UserName%\AppData\Local\Temp\is-<Random>.tmp\brtsvc_setup.exe" 파일(SHA-1 : df7399e9a3c60509257b1c324d4bcfc88329066e - AhnLab V3 : Trojan/Win32.CoinMiner.C2306125) 생성을 통해 "BRTSvc version 1.0.0.0" 제휴 프로그램이 다음과 같이 설치됩니다.

 

생성 폴더 / 파일 등록 정보

C:\Program Files (x86)\BRTSvc
C:\Program Files (x86)\BRTSvc\brt.dll
C:\Program Files (x86)\BRTSvc\brt.exe :: 가상 화폐 채굴 기능
C:\Program Files (x86)\BRTSvc\BRTSvc.exe :: 작업 스케줄러(BlockchainResearchTools, BlockchainResearchToolsSvc) 등록 파일, 메모리 상주 프로세스
C:\Program Files (x86)\BRTSvc\BRTSvcHelper.dll
C:\Program Files (x86)\BRTSvc\libeay32.dll
C:\Program Files (x86)\BRTSvc\libhwloc-5.dll
C:\Program Files (x86)\BRTSvc\ssleay32.dll
C:\Program Files (x86)\BRTSvc\unins000.dat
C:\Program Files (x86)\BRTSvc\unins000.exe :: 프로그램 삭제 파일


생성 파일 진단 정보

C:\Program Files (x86)\BRTSvc\brt.dll
 - SHA-1 : 0d46af190cf4773fce64ea0b0fa38f70f9af2bc6
 - 알약(ALYac) : Misc.Riskware.CoinMiner.Etc



C:\Program Files (x86)\BRTSvc\brt.exe
 - SHA-1 : bba3d6192194b26ee33f69cb85adbbf4912ce0ff
 - AhnLab V3 : Trojan/Win32.CoinMiner.R216040



C:\Program Files (x86)\BRTSvc\BRTSvc.exe
 - SHA-1 : 084d7e07c187291b419c65a688a91f599a153794
 - Hauri ViRobot : Trojan.Win64.S.Coinminer.5300736


 

"BRTSvc version 1.0.0.0" 제휴 프로그램은 "C:\Program Files (x86)\BRTSvc" 폴더에 파일을 생성합니다.

 

  • BlockchainResearchTools 작업 스케줄러 등록값 : C:\Program Files (x86)\BRTSvc\BRTSvc.exe /Run
  • BlockchainResearchToolsSvc 작업 스케줄러 등록값 : C:\Program Files (x86)\BRTSvc\BRTSvc.exe /Run

해당 프로그램은 시스템 시작 또는 사용자 로그온 시 작업 스케줄러에 등록된 BlockchainResearchTools, BlockchainResearchToolsSvc 등록값을 통해 "C:\Program Files (x86)\BRTSvc\BRTSvc.exe /Run" 파일을 자동 실행하도록 구성되어 있습니다.

 

 

이를 통해 자동 실행된 "C:\Program Files (x86)\BRTSvc\BRTSvc.exe" 파일은 메모리에 상주하며 PC가 유휴 상태(작업이 없는 상태)가 시작되면 1분 경과 시 "C:\Program Files (x86)\BRTSvc\brt.exe" 파일을 추가적으로 실행하여 핵심 기능이 동작하기 시작합니다.

 

 

실행된 brt.exe 파일은 pool.minexmr.com:6666 서버와 통신을 한 후 모네로 마이닝(Monero Mining) 가상 화폐 채굴 기능을 수행하며 평균적으로 CPU 75% 수준으로 동작이 이루어지며, 만약 사용자에 의한 PC 사용이 재개될 경우 자동으로 brt.exe 파일 기능은 종료되도록 구성되어 있습니다.

 

현실적으로 "BRTSvc version 1.0.0.0" 프로그램은 사용자가 PC를 전혀 사용하지 않을 경우에만 동작할 가능성이 높으며, 대신 유휴 상태인 경우에는 CPU 사용률이 75%를 유지하여 부담을 줄 수 있습니다.

 

 

프로그램 제거를 위해서는 설정(제어판)의 앱 및 기능(프로그램 및 기능)에 등록된 "BRTSvc version 1.0.0.0" 프로그램을 찾아 제거하시기 바랍니다.

 

생성 레지스트리 등록 정보
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{13F49A94-736F-4BE2-B149-55B2EDABB0B0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2D054AEF-E9C1-4692-A53E-732F9DEF0098}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BlockchainResearchTools
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BlockchainResearchToolsSvc
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\BRTSvc_is1

 

 

과거에 µTorrent 파일 공유 프로그램에서도 "EpicScale Application" 제휴 프로그램을 추가하여 가상 화폐 채굴 프로그램을 설치한 적이 있으며, 당시 해외에서 문제가 제기되어 결국 빠른 시간 내에 빠진 것으로 기억됩니다.

 

또한 가상 화폐의 인기로 인하여 사용자 몰래 설치되는 가상 화폐 채굴 기능이 증가함에 따라 더욱 "BRTSvc version 1.0.0.0" 제휴 프로그램이 이슈가 된 것으로 보이므로, 사용자가 해당 제작사의 소프트웨어를 이용하실 때에는 설치 여부를 잘 판단하시기 바랍니다.

728x90
반응형